He detectado varios inicios de sesión ilegítimos en Office 365 (según la IP del cliente). En el registro de auditoría, la operación aparece como "ForeignRealmIndexLogonInitialAuthUsingADFSFederatedToken". No estoy muy familiarizado con este tipo de inicio de sesión, y los artículos de MSDN no parecen proporcionar la profundidad, solo que existe. ¿Alguien puede explicar lo que esto podría significar?
Esta es una entrada bastante horrible en el registro de auditoría combinado y Microsoft ciertamente no hace que sea fácil de descifrar.
Parece que sucede cuando un dispositivo de usuarios con una cuenta de AD local sincronizada con Azure AD intenta autenticarse.
Por lo que puedo decir, la dirección IP debe estar relacionada con el dispositivo cliente, que puede no estar presente en el momento de la autenticación.
Hay un par de artículos de soporte relacionados. Como suele ocurrir con el soporte web de MS, son bastante intrínsecos. 2
Lea otras preguntas en las etiquetas cloud-computing microsoft